A Autoridade Nacional de Proteção de Dados (ANPD) aprovou o aguardado Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador, cujas disposições relativas a tratamento de dados pessoais se aplicam aos titulares de dados e aos agentes de tratamento, pessoas naturais ou jurídicas, de direito público ou privado, e demais interessados.
O Regulamento foi aprovado pela Resolução CD/ANDP nº 1, de 28 de outubro de 2021, e entrou em vigor no dia seguinte, data de sua publicação. O processo de fiscalização compreende as atividades de monitoramento, orientação e atuação preventiva, e o primeiro ciclo de monitoramento está previsto para ter início em janeiro de 2022. Já o processo administrativo sancionador destina-se à apuração de infrações à legislação de proteção de dados e pode resultar na aplicação de sanções, que vão desde advertências e multas à publicização da infração, bloqueio ou eliminação de dados pessoais, suspensão e até a proibição parcial ou total das atividades da empresa.
Além de disciplinar os processos de fiscalização e sancionador, o Regulamento traz disposições que demandam bastante atenção do agente regulado para evitar danos à sua marca e afastar a violação de segredos comerciais ou industriais. Um exemplo é o sigilo de informações relativas à atividade empresarial, como dados e informações técnicas, econômico-financeiras, contábeis e operacionais, que precisa ser solicitado à ANDP no curso de fiscalização que implique na disponibilização de documentos.
No intuito de facilitar a análise do Regulamento, destacamos abaixo os seus principais pontos:
1. Deveres dos Agentes Regulados:
- fornecer cópia de documentos, físicos ou digitais, dados e informações relevantes para a avaliação das atividades de tratamento de dados pessoais, no prazo, local, formato e demais condições estabelecidas pela ANPD;
- permitir o acesso às instalações, equipamentos, aplicativos, facilidades, sistemas, ferramentas e recursos tecnológicos, documentos, dados e informações de natureza técnica, operacional e outras relevantes para a avaliação das atividades de tratamento de dados pessoais, em seu poder ou em poder de terceiros;
- possibilitar que a ANPD tenha conhecimento dos sistemas de informação utilizados para tratamento de dados e informações, bem como de sua rastreabilidade, atualização e substituição, disponibilizando os dados e as informações oriundos destes instrumentos;
- submeter-se a auditorias realizadas ou determinadas pela ANPD;
- manter os documentos físicos ou digitais, os dados e as informações durante os prazos estabelecidos na legislação e em regulamentação específica, bem como durante todo o prazo de tramitação de processos administrativos nos quais sejam necessários; e
- disponibilizar, sempre que requisitado, representante apto a oferecer suporte à atuação da ANPD, com conhecimento e autonomia para prestar dados, informações e outros aspectos relativos a seu objeto.
2. Documentação:
- Em caso de solicitação de documentos pela autoridade, cabe ao agente regulado solicitar à ANPD o sigilo de informações relativas à sua atividade empresarial, como dados e informações técnicas, econômico-financeiras, contábeis, operacionais, cuja divulgação possa representar violação a segredo comercial ou a industrial.
- Os documentos apresentados sob a forma digitalizada deverão cumprir os requisitos estabelecidos pelo Decreto nº 10.278, de 18 de março de 2020. Para mais informações, acesse nosso informativo sobre o tema, clicando aqui.
- O agente regulado, por intermédio de representante indicado, poderá acompanhar a auditoria da ANPD, ressalvados os casos em que a prévia notificação ou o acompanhamento presencial sejam incompatíveis com a natureza da apuração ou em que o sigilo seja necessário para garantir a sua eficácia.
3. Intimação:
- Frustrada a tentativa por via postal ou quando desconhecido ou incerto o endereço do intimado, circunstância que será certificada nos autos, a intimação será feita por edital publicado no Diário Oficial da União.
4. Processo de Fiscalização:
- A atividade de monitoramento destina-se ao levantamento de informações e dados relevantes para subsidiar a tomada de decisões pela ANPD, com o fim de assegurar o regular funcionamento do ambiente regulado. O ciclo de monitoramento será anual.
- A atividade de orientação baseia-se na economicidade e na utilização de métodos e ferramentas voltadas a promover a orientação, a conscientização e a educação dos agentes de tratamento e dos titulares de dados pessoais.
- A atividade preventiva consiste em uma atuação baseada, preferencialmente, na construção conjunta e dialogada de soluções e medidas que visam a reconduzir o agente de tratamento à plena conformidade, ou a evitar ou remediar situações que possam acarretar risco ou dano aos titulares de dados pessoais e a outros agentes de tratamento.
- A atividade repressiva caracteriza-se pela atuação coercitiva da ANPD, voltada à interrupção de situações de dano ou risco, à recondução à plena conformidade e à punição dos responsáveis mediante a aplicação das sanções previstas no artigo 52 da LGPD, por meio de processo administrativo sancionador.
5. Processo Administrativo Sancionador:
- A decisão proferida em processo administrativo sancionador será motivada, com indicação dos fatos e dos fundamentos jurídicos, bem como aplicará a respectiva sanção, quando cabível, seguindo os parâmetros e critérios definidos no §1º do art. 52 da LGPD e na regulamentação expedida pela ANPD. Caberá recurso da decisão.
- Sanções previstas:
- advertência, com indicação de prazo para adoção de medidas corretivas;
- multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 por infração;
- multa diária, observado o limite total de R$ 50.000.000,00 por infração;
- publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- eliminação dos dados pessoais a que se refere a infração;
- suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento;
- suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período; e
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
A equipe do Fraga, Bekierman e Cristiano Advogados encontra-se à disposição para prestar orientações e esclarecer eventuais dúvidas sobre a matéria.